Один программный элемент, выпавший из системы, может остановить компанию, отрасль и целое государство. Участники конференции заявляют: «Мы знаем, как создать мир, в котором белые хакеры могут быть полезны в повсеместных решениях».
В этом году на площадке Positive Hack Days представлена обновленная модель Цифрового города (интерактивный макет), который уже по праву можно называть цифровым государством. В проекте появились целые отрасли: нефтяная, энергетическая, металлургическая, а также нефтехранилище, система пожаротушения, второй контроллер обнаружения чрезвычайных ситуаций и дополнительная система защиты. Перед специалистами - участниками мероприятия поставлена задача внести сбой в системы обеспечения Цифрового города. Такие действия (задания) необходимы для выявления программных уязвимостей.
На полях Positive Hack Days прошло пленарное заседание «Тектонический сдвиг российского кибербеза», в котором приняли участие: глава департамента обеспечения кибербезопасности Минцифры Владимир Бенгин, представитель НКЦКИ ФСБ России Сергей Корелов, директор центра мониторинга и реагирования на кибератаки Solar JSOC Владимир Дрюков и руководитель службы кибербезопасности ПАО «Сбербанк» Сергей Лебедь. Ключевой темой дискуссии стала взрывная активность кибератак на российские компании, а также уход зарубежных вендоров, чьи решения либо перестали поддерживаться, либо в один момент превратились в «кирпич».
Участники заседания обсудили, насколько оперативно можно заменить западные решения, какие меры поддержки существуют сегодня у государства и какие меры необходимо принимать внутри компаний, поделились своим видением рынка информационной безопасности и попытались ответить на главный вопрос: «Что ждет российский кибербез - рост или деградация?».
Открывая пленар, модератор сессии, директор экспертного центра безопасности (Expert Security Center) компании Positive Technologies Алексей Новиков отметил, что в последнее время, количество выходных дней команд, занимающихся в компании мониторингом и расследованием инцидентов, а также предотвращением атак, приблизилось к нулю. По его словам, с 24 февраля 2022 года количество кибератак в РФ выросло практически в 3 раза. При этом многие инциденты перешли в публичную сферу – атаками были затронуты (и продолжают быть затронутыми) и госсектор, и крупные интернет-магазины, и компании.
Руководитель направления промышленной кибербезопасности Positive Technologies Роман Краснов отметил, что количество атак на промышленные предприятия настолько увеличивается, что компаниям, занимающимся информационной безопасностью еще только предстоит подсчитать, насколько именно: «В сегодняшних реалиях пока не до статистики. За три недели марта общее число обращений за сервисами защиты, например, в Positive Technologies, составило как минимум треть от всех запросов в 2021 году». Эти промежуточные данные характеризуют то, что происходит в данный момент. Число атак на промышленность действительно стало в десятки, а может и в сотни раз больше, чем было раньше.
Значительный отток атак произошел из кредитно-финансового сектора. Акцент хакеров сместился в направлении «атакуй русских». Сергей Лебедь пояснил: «Мы все делим реальность на жизнь «до» и на жизнь «после». С недавних времен мошенничество стало уже традиционной темой для банков. Так до начала всех геополитических событий Сбер фиксировал до 100 тысяч мошеннических звонков клиентам ежедневно. Однако в течение недели после начала Спецоперации России на Украине звонки практически прекратились вообще. Далее мошенническая активность возобновилась, но не превышает 50%, что, по словам Лебедя, свидетельствует о том, что большая часть атак на Сбер велась с территории Украины.
По словам Владимира Дрюкова, 24 февраля привело к тому, что специалисты стали объединяться: «Коллаборации возникают повсеместно. Все, что сегодня происходит в российском кибербезе – это в основном проблема коммуникаций. Мы находимся в ситуации, когда мы вместе боремся с угрозами, поэтому крайне важно делиться информацией!». Сейчас важнее всего защитить страну, каждую компанию и бизнес в целом, а не скрывать свои разработки и возможности.
Владимир Бенгин рассказал, что 1 мая 2022 в нашей стране появилась новая нормативная база – это указ президента России Владимира Путина N 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации», который был обусловлен всеми теми вызовами, с которыми столкнулась Россия.
Комментируя важность нового указа, Владимир Бенгин отметил, что сегодня Минцифры стремится объединить всех специалистов, потому что в наши дни на первый план выходит социальная ответственность всех участников рынка: «Российское программное обеспечение сейчас находится под микроскопом. Поэтому коллаборация специалистов должна происходить на всех уровнях, ведь практически все существующие атаки уже отрабатывались когда-либо ранее».
Корпорации и компании не всегда могут справится с атаками, поэтому всегда необходимо привлекать специализированные компании для обеспечения безопасной работы. Очевидно, что это потребует дополнительных финансовых средств: «Это очень важная история. Однако если у компании есть денежные средства на цифровизацию, то должны быть изысканы и средства на обеспечение безопасности».
Важнейший пункт Указа N 250 связан с импортозамещением. Согласно ему, с 1 января 2025 года государственным органам и организациям запрещается использовать средства защиты информации, странами происхождения которых являются иностранные государства, совершающие в отношении России, а также ее юридических лиц и физических лиц недружественные действия.
Владимир Дрюков подчеркнул, что несмотря на то, что утечек данных становится всё больше и больше, ситуация находится под контролем. По его словам, когда специалисты ведомства говорят: «мы всё видим», то это действительно так. Происходит постоянный мониторинг различного рода правонарушений в области краж персональных данных граждан, особенно на сервисах госсектора (включая медицину), и не стоит забывать, что данные действия являются наказуемыми. Владимир Дрюков рассказывает: «Мы находимся в условиях информационной войны. Сегодня из 50-ти заявлений о предстоящих крупных кибератаках (анонсируемых, в основном, в Телеграмме), в реальности происходит не более двух.
По мнению Сергея Корелова, в отрасли наконец-то произошел тектонический сдвиг. Выход из зоны комфорта для раскрытия своих решений в области инфобеза в сложившейся ситуации просто необходим: «Работать сообща – это то, к чему мы призывали на протяжении многих лет. Ведь все реализованные угрозы, помимо прочего, это не нечто новое. Это скорее нежелание организаций обращать внимание на вопросы безопасности, которым просто необходимо было уделять внимание».
Владимир Дрюков подчеркивает, что «с тем темпом, которым развивается количество и качество киберугроз, спать не приходится». В нашей стране ожидаемый дефицит специалистов в области кибербезопасности по минимальным подсчетам составляет порядка 35 тысяч человек.
В числе ключевых рисков Сергей Лебедь отметил потерю аналитических информационных источников, которые, к сожалению, постепенно закрывают доступ российским компаниям. Аналогичных российских ресурсов информации по различным направлениям отрасли в нашей стране на сегодня нет. Поэтому работа по формированию собственной аналитики угроз и атак должна быть максимально усилена. Так с момента начала Спецоперации только от органов госбезопасности было получено порядка 25-ти рекомендаций в данном направлении.
В рамках нового Указа, ФСБ России поручено организовать аккредитацию центров государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на российские информационные ресурсы. Сегодня в нашей стране функционирует Национальный координационный центр. Однако один орган, насколько бы хорошо он не работал, не может обеспечить достаточной информацией всю отрасль, а создать действительно работающую систему можно только сообща.
Менеджер по развитию бизнеса направления «Solar Интеграция» компании «РТК-Солар» Витаоий Сиянов, что уязвимости в актуальных решениях обнаруживаются постоянно: «Основная проблема ухода иностранных производителей в том, что они оказывали сервис для своих продуктов. В сегодняшних реалиях вендоры уже не доставляют патчинг, то есть через год у предприятий будет не средство защиты, а решето. Сообщество хакеров, разумеется, отслеживает информацию об уязвимостях и активно эксплуатирует их в атаках, поэтому вопрос патчинга стоит чрезвычайно остро».
Роман Краснов добавил, что в ситуации, когда патчинг уязвимостей недоступен, критически повышается роль мониторинга, всегда подразумевающего применение профессиональных продуктов инфобиза: «Например, SIEM- и NTR/NDR-системы отлично подходят для использования в индустриальной сети. Если предприятия не могут «патчиться», им необходимо внимательно мониторить то, что происходит с известными им уязвимостями, а также понимать, когда к ним попытаются приблизиться злоумышленники». Кроме того, без полноценного мониторинга технологической сети нельзя качественно и существенно повысить ее защищенность.